Una ricerca di mercato effettuata a metà Novembre 2016 ha evidenziato che quasi la metà delle aziende interpellate (500 per un corrispettivo di altrettanti business man) sono state messe in difficoltà da un 
attacco ransomware. Lo studio afferma che il numero di attacchi ransomware è in crescita, con alcune zone più interessate di altre dal fenomeno: il Regno Unito è una di queste, gli esperti di sicurezza la definiscono tra i testing ground preferiti dagli hacker.
Come ricorderanno probabilmente alcuni lettori, due anni fa “un caso ransomware” ebbe la fortuna di essere ripreso dai “non addetti ai lavori” finendo così sulle pagine ed i siti della stampa generalista: ad attirare l’attenzione dei cronisti l’intensa campagna di spam via email che raggiunse migliaia di caselle di posta aziendali e private con insidiosi malware in grado di colpire determinate tipologie di file – fogli elettronici, immagini etc. Le vicende riguardanti uffici comunuali alle prese con il famigerato Cryptolocker, una delle tante varianti dei malware appartenenti alla famiglia dei ransomware, contribuirono a rafforzare l’idea che si trattasse di un problema “molto vicino” alla routine quotidiana della gente.
A rendere l’attacco particolarmente subdolo, l’inganno ideato a danno degli ignari destinatari, un messaggio di rimborso con allegata una presunta fattura (in realtà il malware): una volta aperto il file, la “fattura/eseguibile” procedeva alla cifratura dei dati presenti nel sistema operativo (da ricordare che solo gli OS Microsoft erano vulnerabili) richiedendo all’utente di versare un quantitativo variabile di denaro per ricevere la chiave necessaria alla loro decrittazione – ed ecco spiegato il termine ransomware, da ransom (riscatto).
Per le compagnie che basano il proprio modello di business sull’accesso immediato ai dati, la parola “ransomware” significa solo un’ingente perdita di tempo e di denaro. Di seguito vediamo una serie di contromisure da adottare per mitigare e contrastare il fenomeno che, in certi casi, sembra aver interessato tre o più volte l’anno l’85% delle imprese (a livello globale).
Backup nel cloud e disaster recovery
Il periodico backup (giornaliero se possibile) dei dati mission critical consente di neutralizzare un attacco ransomware: grazie alla disponibilità delle copie nel cloud, i file infettatti/crittografati on premise potranno essere rapidamentre sovrascritti con versioni non infette degli stessi. Scongiurato il pericolo di dover pagare un corrispettivo in denaro, il problema successivo è quello di riportare alla totale operatività i sistemi informatici. Ed è in queste situazioni che efficaci piani disaster recovery e failover giocano un ruolo cruciale, permettendo all’azienda di ripristinare in breve tempo l’operatività dei sistemi di produzione. Tra le soluzioni più popolari quella di salvare in un file di log la cronologia di tutte le operazioni di scrittura, in modo da poter ripristinare all’occorrenza le VM in un “punto temporale” precedente all’attacco.
Sicurezza cloud avanzata
Le policy di sicurezza adottate nel cloud devono possibilmente offrire un livello di protezione pari a quello on premise. Tra le funzionalità essenziali sistemi di intrusion detection, monitoraggio dell’integrità dei file e controllo dei log, patching virtuale e stateful firewall.
Formazione del personale
Gli attacchi ransomware, come qualsiasi altro attacco informatico, seguono dei determinati schemi (pattern). La formazione del personale al riconoscimento di tali pattern è importante: un utente consapevole porrà ad esempio attenzione all’email completa del mittente, solitamente costituita da una parte che cerca di fare riferimento ad un ente/organizzazione fidata (es: Poste Italiane) e da una in cui vi sono invece caratteri/simboli che mai potrebbero trovarsi in un indirizzo ufficiale; o ad allegati con estensioni che niente hanno a che vedere con il file presentatoci dalla mail (es: un foglio word con estensione .exe o un pdf con estensione .cab e via dicendo); o ancora strani messaggi pubblicitari in siti ritenuti sicuri (malvertising, l’embed di banner malevoli in un portale) dagli utenti.
Protezione a più livelli (multi-layered)
I sistemi di sicurezza cloud possono essere affiancati da ulteriori accorgimenti/pratiche come l’autenticazione in due fattori, il controllo degli accessi, la cifratura dei dati archiviati nel cloud, l’esecuzione di periodiche scansioni per individuare potenziali vulnerabilità, un sistema di sicurezza di rete multi livello che ne forzi la segmentazione in modo da elevarne globalmente il grado di affidabilità e protezione.
